Ecco le 5 fasi di un attacco informatico. I rischi per la rete

 Premessa doverosa 

Questo articolo non ha nessunissimo scopo malevolo. Ha il semplice obbiettivo di informare i lettori di questo blog di tutti i possibili rischi e delle fasi di un attacco informatico. Più si conosce tale argomento e più sarà difficile cadere in trappola. 

Rischi per la rete 

Collegando una LAN ad Internet, attraverso un router stiamo esponendo tale rete a probabili rischi, tra i possibili pericoli : 

• Accessi indesiderati : accessi da host esterni con lo scopo di compromette infrastrutture o danneggiare i servizi offerti, tra i più famosi attacchi di questa tipologia abbiamo gli attacchi DoS. 
• Installazione di Software : sicuramente tra le due è quel tipo di pericolo che ci immaginiamo maggiormente, sono tutti quei software malevoli che si introducono all'interno dei nostri device o in tutta la nostra rete a causa di download, programmi eseguibili e molto altro. Questi tipi di attracchi sono portati avanti da software dannosi come i Virus i Trojan Horses i Ransomware e molto altro. (Se sei interessato a conoscerli potrai trovare ulteriori informazioni all'interno di altri miei post). Tali programmi possono provocare anomali di funzionamento di uno o più nodi in rete o peggio ancora possono aprire porte nascoste all'interno dei nostri device facilitando l'accesso e il controllo di malviventi (backdoor)

Le fasi di un attacco 

Un attacco informatico si articola su 5 fasi, solitamente utilizzate per compiere l'attacco in modo clear e pulito. 

Queste 5 fasi sono : 

1. Raccolta delle informazioni (Footprinting) : vengono raccolte informazioni sull'individuo da attaccare, quindi hobby, nome e cognome , eventuali informazioni aggiuntive come magari numeri di telefono o email, potrebbe risultare di fondamentale importanza conoscere l'indirizzo IP pubblico della rete e molto altro. Sono tutte quelle informazioni che si possono trovare online o direttamente nei nostri profili social, sono informazioni che in un secondo momento torneranno estremamente utili. Nessuna di queste informazioni dovrà essere ignorata o sottovalutata.  In questa fase si evita di interagire con il bersaglio, quindi si evita in tutti i modi un contatto. Si usano servizi come :      
• Google;
• Ricerca Whois;
• DNS;
• Social media; (ai giorni nostri risultano sicuramente un ottimo modo per conoscere moltissime informazioni sul nostro bersaglio)
• Metadati;
• Siti di annunci di lavoro;
• Tool come Maltego e Recon-ng;
• Motori di ricerca specifici come Shodan.
2. Scansione della rete :  si effettua una scansione della rete in modo da identificare eventuali porte aperte e i relativi servizi esposti. Le tecniche di scansione sono molteplici, alcune silenziose altre meno. Un esempio di port-scan è NMAP, un programma che utilizza gli indirizzi ip o un dominio per controllare le eventuali porte aperte. NMAP è uno strumento ampiamente utilizzato nella sicurezza informatica sia per fare dei test di penetrazione, sia da cracker.  Un esempio di Port scan è il TCP Connect() scanning : in pratica l'attaccante invia per primo un pacchetto TCP ad una certa porta del server, utilizzando il flag SYN che in questo momento sarà attivo per iniziare una nuova connessione. Se la porta di attacco è aperta il destinatario risponderà con un pacchetto SYN ACK, in questo momento l'attaccante potrà attivare la connessione con un altro ACK, tale connessione verrà registrata nel log e potrà essere facilmente verificabile.                                                       La domanda sorge spontanea, come proteggersi da tutto ciò ? Attualmente esistono moltissimi modi per difendersi online, io ti consiglio : 
• Firewall : filtra tutti i dati in ingresso e in uscita dalla rete, possiamo configurarlo come riteniamo più opportuno. In questi casi i firewall notano le richieste di connessione che vengono effettuate senza inviare effettivamente nessun dato. I firewall registrano tale richiesta sospetta nel log, successivamente viene allertato l'amministratore di rete di una connessione sospetta. 
• Honeypot : sono macchine volutamente vulnerabile atte a confondere l'eventuale attaccante. Solitamente vengono usate per studiare i comportamenti dell'attaccante in modo da potersi difendere prontamente. Gli Honeypot sono a tutti gli effetti una trappola per il cracker. 
3. Gaining access : fase di attacco alla rete. dopo aver trovato una porta aperta si cercano eventuali vulnerabilità nei servizi installati che questa porta utilizza. Si sfruttano per questo scopo gli exploit, ovvero dei pezzi di codice che fungono da amo, il loro scopo è ottenere il controllo del sistema sfruttando le vulnerabilità di cui ci siamo accorti in precedenza. Un esempio di tale strategia è il Buffer Overflow: questa tecnica sfrutta una vulnerabilità presente nei programmi in C e in C++; questi linguaggi di programmazione non controllano la dimensione degli array che utilizzano, utilizzando questa falla il malintenzionato può portare ad un Crash del server o addirittura al controllo dell'intera macchina. In alternativa a questo attacco si possono utilizzare tali vulnerabilità per lanciare attacchi di tipo DoS (Denial of Service), in pratica si bombarda di richieste inutili quella determinata porta per renderla inutilizzabile facendola addirittura crashare. Gli attacchi DoS possono essere di 3 tipi : 
• Ping of Death : si creano delle richieste molto lunghe, superiori ai 64KB. Richieste che possono far collassare il server.
• Syn flood : un client che utilizza un ip falso inonda il server di richieste di connessione, il server sarà incapace di accogliere tali mole di richieste, finendo per collassare. 
• Smurf : un attacco che è stato fatto ad Amazon o Yahoo e si basa sull'invio di ping in broadcast utilizzando il protocollo ICMP. 
4. Pilfering : Una volta ottenuto il controllo di una macchina si cerca immediatamente l'accesso ad altre macchine, per fare ciò è necessario conoscere i relativi username e password. Ciò si può fare con moltissime tecniche, una tra queste è la brute force, ovvero si provano in modo brutale tutte le possibili combinazioni di quella password, più ovviamente quest'ultima sarà composta da più caratteri più tentativi ci vorranno. Qui entra in gioco la fase 1, infatti moltissimi utenti online utilizzano come propria password delle "cose" personali, come il nome del proprio cane, la propria data di nascita, il proprio hobby o addirittura password comuni a tutti come magari "1234" o "password" che al giorno d'oggi sono tra le password più utilizzate. Un modo molto utile per evitare tecniche come il brute force è impostare dei limiti di tempo, proprio come quelli che abbiamo nei nostri device. Dopo un numero definito di tentativi, non si possono più provare altre combinazioni per un lasso di tempo, più errori si fanno più il lasso di tempo dove si è impossibilitati a mettere la password aumenta. 
5. Cancellazione delle tracce : si cancellano le tracce lasciate come ad esempio il log di cui parlavamo prima, fatto ciò si installano dei particolari programmi che girano in modo nascosto all'interno del nostro device e consentono un facile e comodo accesso da remoto all'attaccante, in gergo queste vengono chiamate backdoor, porte nascoste utilizzate dall'attaccante per accedere facilmente alla macchina infettata. 

Tipologie di attacchi 

• Virus : sono dei software malevoli in grado di danneggiare il computer. Per introdursi all'interno della macchina hanno bisogno di un programma ospite, all'eseguire di questo programma verrà eseguito anche il virus. 
• Worm : sono dei software che si autoreplicano nella rete, contagiando quindi tutti i computer connessi ad essa. Le tipologie più famose di virus e worm sono : 
• Adware : sono nei programmi che mostrano messaggi pubblicitari durante l'uso delle applicazioni.
• Backdoor Trojan : prende il controllo del computer senza il consenso del proprietario creando appunto le backdoor di cui parlavamo in precedenza
• Bluejacking : vengono inviati dei messaggi anonimi e indesiderati ad utenti che utilizzano PC e in generale device dotati di Bluetooth. Una vittima comunissima di tali attacchi sono i nostri telefoni, che sicuramente sono molto più esposti a connessioni Bluetooth con più device. 
• Bootvirus : modica il programma di avvio del computer 
• Browser hijacking : modifica e danneggia i browser che utilzzi, ovviamente non è un danno diretto a Google o ad altri motori di ricerca, ma  un attacco all'utilizzatore
• Dialer : modificano il numero telefonico della connessione ad Internet dial-up
• MouseTrapping : impedisce all'utente di uscire da un determinato sito internet 
• Phishing : sicuramente tra tutti il più famoso , vengono usate e-mail e falsi siti web alle volte davvero molto simili all'originale. Il loro scopo è indurre gli utenti a fornire le credenziali di accesso, dati sensibili, numeri di telefono, password, username o dati bancari.
• Rootkit : software che si nasconde dietro a programmi in esecuzione, il suo scopo è sottrarre dati o eseguire operazioni illecite all'insaputa della vittima, tra questi attacchi rientra il kaylogger. Il keylogger è un programma che registra tutto ciò che viene digitato sulla tastiera, quindi password, username o informazioni personali di qualunque natura.
• Spam : frequentissimo nelle email è un'invio continuo di posta o richieste indesiderate.
• Spoofing : falsificazione dell'indirizzo IP, solitamente viene usato dai così detti Man In the middle, ovvero un malvivente che si pone al centro della connessione e che intercetta tutti i dati che passano attraverso di essa. Il Man In the Middle si finge il reale destinatario delle informazioni in modo da sottrare le informazioni al mittente. 
• Spyware : è un software che raccoglie informazioni sull'attività online della vittima, ovviamente il tutto senza il suo consenso. Qui quindi è possibile ottenere tutti i siti che quella vittima ha visualizzato di recente o eventuali acquisti online. Queste sono informazioni molto importanti di cui le aziende necessitano, solitamente grazie a queste informazioni è possibile fare della pubblicità mirata o invogliare la vittima ad altri acquisti.
• Trojan : programma che si nasconde e che inizialmente sembra innocuo. Al suo interno sono presenti delle funzionalità nascoste come un keylogger. 
• Zombie : è un computer controllato da remoto, ovviamente il tutto all'insaputa dell'utente. Solitamente sono computer che vengono utilizzati per attacchi dannosi come DoS, spammando richieste ad un server. 
• Ransomware : impedisce l'accesso alle informazioni personali criptandole. Solitamente per riottenere questi dati è necessario pagare un riscatto. 
• SQL injection : tecnica di hacking che colpisce applicazioni web che si appoggiano su un DBMS di tipo SQL. Questa tecnica utilizza l'SQL ed è molto potente, permette infatti al malintenzionato di ottenere ampi privilegi, anche l'accesso in arie protette del sito nonostante non conosca tutte le credenziali d'accesso. Con questo potere in mano il malintenzionato può visualizzare e alterare tutti i dati sensibili presenti sull'applicazione/sito web. 

Conclusione 

Questo post ha il solo scopo di informare i lettori, NON ha lo scopo di invogliare l'esecuzione di attacchi malevoli. Conoscere le problematiche e i rischi è il primo passo per potersi difendere al meglio. Spero che questo post vi sia piaciuto. Ho in programma di creare un post spiegando nel dettaglio cos'è e come funziona un Firewall. 

Da Infodibase per oggi è tutto e alla prossima : )

Argomenti consigliati : 

Cos'è SQL ? Le basi

Livello Application, Protocollo HTTP e Architetture di rete.

Cosa sono i DNS? Perché sono così importanti?

Ransomware significato, trojan AIDS e WannaCry

Malware significato e differenze

Ramsonware Reveton e CryptoLocker